Was ist eine Zugangskontrollliste?
- IAM-Glossar
- Was ist eine Zugangskontrollliste?
Eine Zugriffssteuerungsliste (Access Control List, ACL) ist eine Liste von Regeln, die bestimmen, welche Benutzer oder Systeme Zugriff auf bestimmte Netzwerkressourcen erhalten und welche Aktionen sie während der Verwendung dieser Ressourcen durchführen können.
Dies ist ein Grundprinzip im Rahmen der Richtlinien für Identity and Access Management (IAM), das sicherstellt, dass autorisierte Benutzer nur auf Ressourcen zugreifen können, für die sie die Berechtigung haben.
Wie funktionieren Zugriffssteuerungslisten?
Zugriffssteuerungslisten verifizieren die Anmeldeinformationen eines Benutzers, indem sie deren Berechtigungen und andere Faktoren bewerten, je nach Art der Zugriffssteuerungsliste, die eine Organisation implementiert hat. Nach dieser Bewertung und Verifizierung gewährt oder verweigert die ACL den Zugriff auf die angeforderte Ressource.
Arten von Zugriffssteuerungslisten
Zugriffssteuerungslisten können in zwei Hauptkategorien klassifiziert werden:
Standard-ACL
Eine Standard-Zugriffssteuerungsliste ist die häufigste Art von ACL. Sie filtert den Datenverkehr ausschließlich auf der Grundlage der Quell-IP-Adresse. Standard-ACLs berücksichtigen keine anderen Faktoren des Benutzerpakets.
Erweiterte ACL
Eine erweiterte Zugriffssteuerungsliste ist eine präzisere Methode, die eine Filterung basierend auf zahlreichen Kriterien wie den Portnummern, Protokolltypen, Quell- und Ziel-IP-Adressen des Benutzers ermöglicht.
Arten von Zugriffssteuerungen
Es gibt verschiedene Arten von Zugriffssteuerungen, die auf die Bedürfnisse einer Organisation zugeschnitten sind. Nachfolgend finden Sie die vier häufigsten Arten von Zugriffssteuerungen.
Rollenbasierte Zugriffskontrolle (RBAC)
Rollenbasierte Zugriffssteuerung (RBAC) ist eine weit verbreitete Methode zur Verwaltung des Ressourcenzugriffs. Es verwaltet die Autorisierungen und Beschränkungen eines Benutzers innerhalb eines Systems basierend auf seiner Rolle innerhalb der Organisation. Bestimmte Privilegien und Berechtigungen sind eingerichtet und mit der Rolle des Benutzers verknüpft. Dieses Sicherheitsmodell folgt dem Prinzip der geringsten Privilegien (Principle of Least Privilege, PoLP) und stellt sicher, dass Benutzer Netzwerkzugriff nur auf Systeme erhalten, die für ihre Jobfunktionen erforderlich sind. So verfügt ein Betriebsanalyst beispielsweise aufgrund seiner unterschiedlichen Aufgaben über eine andere Ressource als ein Vertriebsmitarbeitender.
Diskretionäre Zugriffskontrolle (DAC)
Diskretionäre Zugriffskontrolle (Discretionary Access Control, DAC) ist eine Methode, bei der Ressourcenbesitzer dafür verantwortlich sind, bestimmten Benutzern entweder den Zugriff zu gewähren oder zu verweigern. Es liegt letztlich im Ermessen des Eigentümers, eine Entscheidung zu treffen. Dieses Modell bietet mehr Flexibilität, da es den Eigentümern ermöglicht, Berechtigungen schnell und einfach anzupassen. Es kann aber auch Gefahren mit sich bringen, wenn der Eigentümer der Ressource ein schlechtes Urteil trifft oder in seinen Entscheidungen inkonsistent ist.
Obligatorische Zugriffskontrolle (MAC)
Die obligatorische Zugriffskontrolle (Mandatory Access Control, MAC) ist eine Methode, bei der der Ressourcenzugriff auf Systemrichtlinien basiert, die in der Regel von einer zentralen Behörde oder einem Administrator eingerichtet werden. Es handelt sich dabei um ein Stufensystem, in dem verschiedene Benutzergruppen basierend auf ihrer Freigabestufe unterschiedliche Zugriffsebenen erhalten. Obligatorische Zugriffskontrolle wird in Regierungs- und Militärsystemen häufig verwendet, in denen aus Sicherheitsgründen strenge Vorschriften erforderlich sind.
Attributbasierte Zugriffskontrolle (ABAC)
Attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC) ist eine Methode der Zugriffssteuerung, die die Prüfung von Attributen umfasst, die mit den Benutzern verknüpft sind. Dieses Sicherheitsmodell konzentriert sich nicht nur auf die Rolle des Benutzers, sondern betrachtet auch andere Merkmale wie Person, Umgebung, Berufsbezeichnung, Ort und Zeitpunkt des Zugriffs. Attributbasierte Zugriffskontrolle definiert bestimmte Richtlinien basierend auf Attributen und befolgt diese genau.
Die Komponenten einer Zugriffssteuerungsliste
Es gibt mehrere Komponenten einer Zugriffssteuerungsliste, von denen jede eine wichtige Information darstellt, die einen Faktor bei der Bestimmung der Berechtigungen des Benutzers spielen kann.
- Sequenznummer
- Eine Sequenznummer ist der Code, der zur Identifizierung des ACL-Eintrags verwendet wird.
- ACL-Name
- Der ACL-Name wird ebenfalls zur Identifizierung des ACL-Eintrags verwendet, allerdings mit einem Namen und nicht mit einer Zahlenfolge. In einigen Fällen wird eine Mischung aus Buchstaben und Zahlen verwendet.
- Netzwerkprotokoll
- Admins können den Eintrag auf der Grundlage der Netzwerkprotokolle des Benutzers wie Internet Protocol (IP), Transmission Control Protocol (TCP) und User Datagram Protocol (UDP) entweder gewähren oder verweigern.
- Quelle
- Die Quelle definiert die IP-Adresse der angeforderten Herkunft.
Vorteile der Verwendung einer Zugriffssteuerungsliste
Ein Vorteil der Verwendung einer Zugriffssteuerungsliste besteht darin, dass sie eine granulare Kontrolle bietet, sodass Organisationen Berechtigungen festlegen und einrichten können, die für bestimmte Gruppen zugeschnitten sind. Dies ermöglicht Organisationen Flexibilität und eine präzise Verwaltung von Ressourcen und schützt gleichzeitig die Vertraulichkeit der Systeme.
Darüber hinaus mindern Zugriffssteuerungslisten die Risiken von Sicherheitsverletzungen, unbefugtem Zugriff und den meisten anderen bösartigen Aktivitäten. ACLs können nicht nur den Zugriff von unbefugtem Datenverkehr blockieren, sondern auch Spoofing und Denial-of-Service (DoS)-Angriffe. Da ACLs darauf ausgelegt sind, die IP-Adressen der Quelle zu filtern, lassen sie ausdrücklich vertrauenswürdige Quellen zu, während sie nicht vertrauenswürdige Quellen aussperren. ACLs entschärfen auch DoS-Angriffe, indem sie bösartigen Datenverkehr herausfiltern und die Menge der eingehenden Datenpakete begrenzen. Dadurch wird ein überwältigendes Datenverkehrsvolumen verhindert.
So implementieren Sie Zugriffssteuerungslisten
Um eine Zugriffssteuerungsliste zu implementieren, ist es wichtig, zuerst die Schwachpunkte zu identifizieren und herauszufinden, welche Bereiche innerhalb einer Organisation verbessert werden müssen. Nach dieser Bewertung müssen Organisationen eine gute IAM-Lösung auswählen, die am besten den Sicherheits- und Compliance-Anforderungen der Organisation entspricht und gleichzeitig potenzielle Risiken adressiert.
Sobald sich eine Organisation für eine IAM-Lösung entschieden hat, kann sie die entsprechenden Berechtigungen einrichten, um sicherzustellen, dass Benutzer über die richtige Zugriffsebene auf ihre benötigten Ressourcen verfügen und gleichzeitig die Sicherheitsstandards eingehalten werden.